我有一台 Nortel 交换机(4524GT-PWR),它在镜像端口上出现了一些奇怪的现象。
配置截图:
发送到镜像端口的所有帧都带有 VLAN 1 标记。源自镜像端口的所有帧都没有 VLAN 标记。
进一步说明一下,连接到镜像端口的 PC 接收的帧中有一半数据包带有 VLAN 标记。镜像流量的原始端口不使用 VLAN 标记。
ntopng不喜欢这样,导致统计数据混乱。
我发现交换机中没有停用此“功能”的选项。
在帧到达 ntopng 之前是否可以用iptables或其他方法从帧中删除 VLAN 标签?
从监控端口捕获流量的设备是 Realtek R8152 USB 3.0 设备。
答案1
发现这是 Switch 的问题,无法通过软件解决。
通过将 ntopng 源更改为始终将其设置vlan_id为 0, “解决”了我在使用 ntop 时遇到的问题。
答案2
据我所知,最好的做法是剥离交换机上的 VLAN 标签,而不是尝试在 Linux 中完成所有这些处理。您可能能够从 tcpdump 和 libpcap 中制作出一些东西来捕获所有流量并对其进行处理,但据我所知,这不存在,您必须自己编写它。
运行show vlan int info以查看每个端口上的标记选项。
如果设置为 TagAll,则应将镜像端口更改为tagging untagall